我们知道Unix删除一个文件的具体步骤是: 根据文件i节点的地址表逐一释放文件占用的磁盘数据块,然后清空相应的节点,最后释放i节点。 删除一个目录的过程是: 首先逐一删除目录里的所有文件,然后删除目录。目录本身也是一个文件,故Unix删除方法与删除文件一致。
要恢复被删除的文件,只能根据删除后留下的东西去做文章。Unix删除文件后留下了什么呢?由上述分析可知: 其一,留下了文件的内容; 其二,留下了“现场”。文件的恢复策略只能从这两个方面来分析。
根据内容恢复
若现场已被破坏,即硬盘发生过写操作,那么只好根据内容来恢复。而且,由于Unix是一个多进程、多用户系统,它每一次开关机或硬件、通信故障等都会记录 系统日志、.sh_history等,硬盘现场被破坏的可能性极大。因此讨论按内容恢复的方法具有更大的实用价值。笔者经过实际探索得出下列几种恢复策略 供参考。
● Unix删除文件关键字搜索法
如果知道被删除的文件内容中若干字节的内容,而且该文件长度又不超过一个磁盘 块,那么可以在整个文件系统中搜索这一字节串,得出一个文件所在的数据块,将它们的块号填入一个i节点,即可恢复一个文件。
搜索文件系统的算法很简单,说 明如下: 首先,用“#df -k”命令确定文件系统的设备文件名(如/dev/root); 然后,用下述函数搜索,若成功,返回数据块号,反之返回-1。其中fsname是文件系统的设备名,如/dev/root,comp()参数是实现搜索条 件的函数。
- long searchfs(char *fsname , int comp())
- { FILE *fp;
- char buf[1024];
- long i=0;
- fp=fopen(fsname,"r");
- while (!feof(fp))
- { fread(buf,1024,1,fp);
- if (comp()) /* 检查是否符合搜索条件 */
- return i; /* 若成功返回块号 */
- i++;
- }
- fclose(fp);
- return -1; /* 未找到符合条件的块,返回-1*/ }
● Unix删除文件精确长度搜索法
如果知道被删除文件的精确长度(字节数),那么可根据一个数据块的大小,计算出文件的最后一个数据块中数据的精确长度,该数据块中其他字节必然是全0。根 据这一条件,通过搜索整个文件系统,找出其中符合条件的数据块,若出现多个块符合要求,则还需要根据其他条件区分。但不管怎样,根据精确长度分析也是恢复 数据的一个策略。
● Unix删除文件内容关联法
如果知道文件内容中存在某种可实现的关联,例如文件的校验和或者文件内容的某种上下文关系,那么也可通过搜索整个文件系统,通过反复尝试寻找符合关联条件的磁盘数据块,进而恢复一个文件。
Unix删除的文件找回方法,我们就讲解到这里。
【编辑推荐】